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PROCEDE DE DISTRIBUTION DE DONNEES ET/OU SERVICES 

EMBROUILLES 

. . . DESCRIPTION 

5 DOMAINE TECHNIQUE 

L' invention se situe dans le doma ine de la 

distribution s<§curis<§e de donnees et/ou services dans 

un reseau v ..... „. 

Plus specif iquement, 1' invention concerne 
10 un procide de distribution de donnees et/ou services 
embrouilles a au mo ins un terminal maitre et iau 1 moins- 
un terminal esclave associg audit terminal maitre. 

L' invention concerne egalement un systSme; 
de distribution de donnees et/ou services embrouilles; . 
15 comportant un module central de gestion des abonnes, ur£ 
generateur de messages de gestion de titres d' accea j 
(EMM), une plate-forme d' embrouillage * ^ 
Les donnees et/ou services sont distribues 
& au moins un terminal maitre et a au moins un terminal 
20 esclave munis chacun d'un processeur de s€curit6. Les 
terminaux maitres et esclaves pouvant etre des 
ordinateurs ou des recepteurs audiovisuels munis d'un 
decodeur. Les processeurs de securite sont des 
logiciels enregistres dans la memoire de 1'ordinateur 
25 ou dans la memoire d'une carte a puce. 

ETAT DE LA TECHNIQUE ANTERIEURE 

Lorsqu'un abonn6 dispose de plusieurs 
terminaux de reception de donnees et/ou services 
embrouilles, hormis une connexion physique entre les 
30 diff brents terminaux ou 1 1 utilisation de la voie de 
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gefeoa r ( i dont i f i ca t i on-du- M^le^ & ^-^p^e3ra & fr-o^-adregse- 

MAC (pour Medium Access Control) ou ©IP (pour Internet 
Protocol) de chague terminal, l'operateur ne dispose 
pas de solution simple lui permettant de contrSler 
5 1' attribution de droits d'acces interdependants aux 
differents terminaux de l'abonne. 

• Le- but de 1' invention e.st._ de. ..fournir aux 

.opexat.eur.s_..un precede.. etL..systema...simples-.pour- aff ecter- 

de .facon -contr61ee des droits d'acces interdependants 
10 aux differents terminaux de l'abonne. 

EXPOSE DE L' INVENTION 

L' invention preconise un procede de 
distribution de donnees et/ou services embrouilles a un 
15 abonne muni d'un terminal maitre auquel sont associes 
des droits d'acces principaux et de terminaux 
additionnels esclaves, auxquels sont associes des 
droits d'acces subsidiaires dependant des droits 
d'acces principaux. 

20 Le Procede selon 1' invention comporte les 

ebapes suivantes : 

- transmettre au terminal maitre un premier 
code secret S M et a chague terminal esclave un deuxieme 
code secret S s en relation biunivoque avec le premier 

25 code S M/ 

- autoriser la reception des donnees et/ou 
services par un terminal esclave uniguement si le 
premier code secret S M est prealablement enregistre 
dans ledit terminal esclave. 

Ainsi, un abonne peut recevoir les donnees 
et/ou services sur un terminal principal pour leguel il 
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a prealablement acquis des droits d'acces et tout ou 
partie de ces donnees et/ou services sur plusieurs 
autres terminaux secondaires pour lesquels il a acquis 
. .uru-dr.ait...-diacces ..associe au droit principal*,. Adenfcique . 
5 & celui-ci ou restreint par rapport & celui~ci et 
defini en fonction de choix comtnerciaux ou de criteres 

spfici f igiiefi a .chaque. . terminal ( r^cept eur co mportant u ne 

limitation parentale, linguistique, etc.) . 

Par exemple, 1'operateur peut _ attribuer une 

10 reduction de cout & un abonng pour un deuxieme 
abonnement sous reserve que cet abonnement soit 
ef f ectivement utilise par ce seul abonng sur ' son 
deuxidme terminal. De cette fa<?on, l'op§rateur peut se 
pr6munir du detournement de cette strategie commerciale;;, 
15 si 1' usage du deuxidme abonnement etait techniquement. 
limite au deuxieme terminal de 1 ' abonne . 

Dans un mode pref6r6 de realisation de ( 
1' invention, le procede selon 1' invention . comport e les. 
etapes suivantes : 
20 - definir un premier type de messages de 

gestion de titres d'acces (EMMm) pour transmettre le 
premier code secret S M au terminal maxtre, et un 
deuxidme type de messages de gestion de titres d'acces 
(EMMs) pour transmettre le deuxieme code secret S s & 
25 chaque terminal esclave, 

- enregistrer le premier code secret S M dans 
le terminal maxtre et le deuxieme code secret S s dans 
chaque terminal esclave et k chaque utilisation d'un 
terminal esclave, 
30 - requ^rir 1 9 enregistrement du premier code 

secret S M dans ledit terminal esclave si ce deuxieme 
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— c ode S fl n'est _ p a g en . re l ati on hiiinjjgoque azz&c i ° ced e 
secret S M enregistre dans le terminal esclave. 

Avantageusement, le procede selon 

1' invention comporte en outre une etape consistant §l 
generer a frequence variable un nouveau code secret S M 
et un nouveau code S s en relation biunivoque avec le 
nouveau code S M . 

J? 3 ! 1 .?.... £?. _9$b..l . le proc€d€ comporte lea _ jfo_ap?« 

suivantes : 

- definir un premier type de messages de 
gestion de titres d'acces (EMMm) pour transmettre le 
nouveau code secret S M au terminal maitre, et un 
deuxieme type de messages de gestion de titres d'acces 
(EMMs) pour transmettre le nouveau code secret S s a 
chaque terminal esclave, 

- enregistrer ce nouveau code secret S M dans 
le terminal maitre et le nouveau code secret S s dans 
chaque terminal esclave et, 

a chaque utilisation d'un terminal esclave, 

- si ce nouveau code secret S s n'est pas en 
relation biunivoque avec le code secret S M 
prealablement enregistre dans le terminal esclave, 

- requ£rir 1' enregistrement du nouveau code 
secret S M dans ledit terminal esclave. 

Dans un mode particulier de realisation, 
chaque terminal est associe a une carte a puce. 

Dans une variante de realisation, cette 
carte a puce peut etre appariee au terminal. 

Le procede selon 1' invention est mis en 
ceuvre par un systeme de distribution de donnees et/ou 
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services embrouilles comportant un module central de 
gestion des abonnes, un generateur de messages de 
gestion de titres d'accSs (EMM) et une plate-forme 

d' embrouillage „ „. 

5 Selon 1' invention, ce systeme comporte en 

outre : 

...... ....... - _deja moyens ppjur at t r ibue r ,au . terminal 

maitr'e un premier code secret S M , et a chaque terminal 
esclave un deuxieme code secret S s en relation 

10 biunivoque avec le premier code secret S M / 

- des moyens de control e destines a 
autoriser la reception des donnees et/ou services par 
un terminal esclave uniquement si le premier code 
secret S M est pr^alablement enregistre dans leditr 

15 terminal esclave . 

Dans une premiere variante de realisation,.^ 
le systSme selon 1' invention comporte un seul terminal^ 
maitre et un seul terminal esclave. 

Dans une deuxieme variante, le systeme. 

20 selon 1' invention comporte une pluralite de terminaux 
max t res, et une pluralite de terminaux esclaves. 

BREVE DESCRIPTION DES DESSINS 

D'autres caracteristiques et avantages de 
1' invention ressortiront de la description qui va 
25 suivre, prise a titre d'exemple non limitatif, en 
reference aux figures annexees dans lesquelles : 

- la figure 1 represente un schema d'un systeme 
mettant en ceuvre le proced§ selon 1' invention, 

- la figure 2 represente schematiquement le 
30 f onctionnement du systeme de la figure 1. 
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EXPOSE Btell . T.K T>K T^FS^XiE-EE^^T^T-P^R-T^^ERS 

Afin d'illustrer le precede selon 
1' invention, la description qui suit se situe dans un 
contexts de diffusion de programmes audiovisuels 
embrouilles a des abonnes connectes a un reseau de 
television numerique. 

La fi ^je 1 i l lu stre s enema tiquement Tn 

premier" groupe" de termi"na"ux" 2 T" 4 "d' un "premier "abonng e"tT ' 
un deuxieme groupe de terminaux 6, 8 d'un deuxieme 
abonne connectes, via un reseau de transport 10, a un 
systeme.de diffusion 12. 

Ce systeme de diffusion comporte un module 
central 14 de gestion des abonnes, un generateur de 
codes secrets 16 et un generateur de messages de 
gestion de titres d'acces EMM 18 destines a vehiculer 
les codes secrets generes, et une plate-forme 
d' embrouillage 20. 

Les terminaux 2, 4, 6 et 8 sont associes, 
voire apparies, a une carte a puce 22, 24, 2 6 et 28 
respectivement . 

Le generateur de codes secrets 16 comporte 
un module de calcul apte a definir un premier code 
secret S m et un deuxieme code secret S„ 2 , et a calculer 
un troisieme code secret S 8l en fonction du premier code 
secret S M1 et un quatrieme code secret S s2 en fonction 
du deuxieme code secret S M2 . 

Le module central 14 de gestion des abonnes 
comporte une base de donnees contenant des informations 
sur chaque abonne. Ces informations concernent par 
exemple le nombre de terminaux declares par 1' abonne et 
les criteres associes a chaque terminal, tel que par 



exemple les droits d'acc^s deja acquis ou des 
limitations relatives au type de programmes que peut 
recevoir un terminal ou encore aux plages horaires de 
-reception. . „. 

Le generateur, d' EMM 18 comport e un module 
logiciel apte a generer des messages EMM(@22, S Mi ) , 
-EBOLCA2 4 , Ssi ) , EMM (JS^__S M2 l_e.t. -JEMBlLB2S*_Ssi)_ . de s t ines . It. 
vehiculer les codes secrets S M1 , S M2 , S S1 et S S2 et les 
..criteres de recepJtion_._def inis par le module 14 
respect ivement au terminal 2, terminal 4, terminal 6 et 
terminal 8 a travers le reseau de transport 10. 

Les messages EMM (@22 , S M i) , EMM (@24 , S SI ) , 
EMM(@26, S«) et EMM(@28, S S2 ) sont transmis de facon 
repetee aux terminaux de 1 • abonne . 

A reception de ces messages EMM, les . codes 
secrets S M1 , S M 2/ S S i et S S2 et les critdres de reception 
definis par le module 14 sont inscrits dans les cartes 
a puce 22, 24, 26 et 28 respect ivement . Ces cartes a 
puce et ou les terminaux comportent un logiciel apte a 
distinguer les codes secrets maitres des codes secrets 
esclaves . 

Les figures 2a a 2c illustrent 
schematiquement trois situations distinctes dans 
lesquelles des programmes audiovisuels embrouilles sont 
transmis a un abonne muni d'un terminal maitre A 
associe a une carte a puce 30 et de trois terminaux 
esclaves B, C et D associ<§s respectivement a des cartes 
a puce 32, 34 et 36. 

Dans le cas illustre par la figure 2a, les 
programmes embrouilles sont recus par le terminal 
maitre A ou ils sont desembrouilles de facon classique 
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— moy e n — d-^un — mot — de — controls txangmla sous fnrmp 

chiffrS dans un message de contr6le de titre d'acc£s 
ECM (pour Entitlement Control Message) . Le message ECM 
est exploite dans le terminal A apres avoir ete 
dechiffre par une cle utilisateur prealablement 
inscrite dans la carte a puce 30. L'ECM conditionnant 
l'ac.ces aux programmes -,est__exploitab:Le par._le terminal 
.maitre_.. A„ du ..f ait , jjue la carte^ a puce qui _ lui est 
associle dispose d'un code, secret, maitre identique a 
celui qui est stocks dans le terminal maitre A. Ainsi, 
le controle des codes secrets de la carte et du 
terminal .peut etre ef fectue indif f eremment par la carte 
ou par le terminal. 

Lorsgue le controle est fait dans la carte, 
si les codes secrets S M et S s sont en relation 
biunivoque, celle-ci envo'ie un ECM dechiffre 
exploitable au terminal, sinon, elle n' envoi e pas un 
tel ECM au terminal. 

Par contre, si le controle est effectue 
dans le terminal, la carte a puce envoie un ECM 
dechiffrd et le terminal accepte ou n'accepte pas 
d' exploiter cet ECM selon que les codes secrets S M et S s 
sont en relation biunivoque ou ne le sont pas. 

Dans le cas illustre par la figure 2a, la 
carte a puce 32 du terminal esclave B comport e un code 
secret S S1 en relation biunivoque avec le code secret 
Sm prealablement enregistre (fleche 38) dans le 
terminal esclave B au moyen de la carte a puce 30. 

Les programmes embrouilles sont re?us par 
le terminal esclave B oil ils sont desembrouilles de 



fa<?on classique au moyen d'un mot de controle transmis 
sous forme chiffre dans un message de contr61e de titre 
d'acces ECM (pour Entitlement Control Message) . Le 
-message ECM.. est exploite dans le_ terminal. _B apras... avoir. 
etS dechiffre par une cle utilisateur prealablement 
inscrite dans la carte & puce 32. L' ECM conditionnant 
l ; accds aux programmes est. exploit a ble ,,, par,. le,^xmnal 
esclave B du fait que la carte a puce qui lui est 
asspci^e dispose d'un code secret ...esclave qprrespondant 
de maniere biunivoque au code secret maitre stocke dans 
le terminal maitre B* 

Ainsi, dans ce cas egalement," le controle 
des codes secrets de la carte et du terminal peut §tre 
effectue indif f eremment par la carte ou par le 
terminal . 

Dans le cas illustre par la figure 2b, le 
code secret S M i n'a pas encore §te transfer^ dans le 
terminal esclave C. Les programmes embrouilles requs ., 
par ce terminal esclave C ne pourront pas Stre 
d<§sembrouilles car la carte a puce' 34 du terminal 
esclave C comporte un code secret S S i en relation 
biunivoque avec le code secret S M i* 

Dans le cas illustre par la figure 2c, le 
code secret maitre S M 2 transfer^ dans le terminal 
esclave D n'est pas compatible avec le code secret S S i 
inscrit dans la carte a puce 36. Les programmes 
embrouilles regus par le terminal maitre A ne pourront 
pas non plus etre re<?us par le terminal esclave D. 

Dans les differents cas, chaque fois qu'un 
utilisateur veut utiliser un terminal esclave dont le 



lque au moyen d' un mot de contrdle transmis 
sous forme chiffre dans un message de contrdle de titre 
d'acces ECM (pour Entitlement Control Message). Le 
message ECM est exploite dans le terminal B apres avoir 
ete dechiffre par une cle utilisateur prealablement 
inscrite dans la carte a puce 32. L' ECM conditionnant 
"l-acces'-aux programmes est exploitabie-par- le- terminal 
-«sc-la-ve--B-du--fait que- -la-carre-^ ;-pee quir-lnx-Bsf 
associee dispose d'un code secret esclave- correspondant 
de maniere biunivoque au code secret maitre stocke dans 
le terminal esclave B. 

Ainsi, dans ce cas egalement, le controle 
des codes secrets de la carte et du terminal peut etre 
effectue indif f eremment par la carte ou par le 
terminal . 

Dans le cas illustre par la figure 2b, le 
code secret S M1 n'a pas encore ete transfere dans le 
terminal esclave C. Les programmes embrouilles re?us 
par ce terminal esclave C ne pourront pas etre 
desembrouilles car la carte a puce 34 du terminal 
esclave C comporte un code secret S sl en relation 
biunivoque avec le code secret S M1 . 

Dans le cas illustre par la figure 2c, le 
code secret maitre S„ 2 transfere dans le terminal 
esclave D n'est pas compatible avec le code secret S sl 
inscrit dans la carte a puce 36. Les programmes 
embrouilles recus par le terminal maitre A ne pourront 
pas non plus etre recus par le terminal esclave D. 

Dans les differents cas, chaque fois qu'un 
utilisateur veut utiliser un terminal esclave dont le 
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code secret maitre n'existe pas ou n'est pas compatible 
avec le code secret de la carte & puce, une annonce 
s'affiche sur un Scran pour 1'inviter a inserer la 

carte a. puce a&aoai£e.. . au . terminal .. maitre.... -pour 

5 transferer le code secret maitre dans le terminal 
esclave. Le logiciel resident dans la carte 3. puce ou 

...dans le . terminaJL :^erif ie_,.Xa aQmpatjLbila.t£. des.._.cod.es 

secrets maitre et esclave et autorise 1 ' utilisation du 

terminal escl.ave._si ces codes sont compatibles. _ 

10 II en r^sulte qu ' aucun terminal esclave ne 

pourra etre utilise sans 1 ' autorisation du terminal 
maitre. Ceci permet d' empScher la reception frauduleuse 
de programmes embrouilles par un terminal non muni de 
droits d'acces. 
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1. Procedg de distribution de donnees et/ou 
services embrouilles a au moins un terminal maitre et a 
au moins un terminal esclave associe audit terminal 
maitre, procede caracterise en ce qu'il comporte les 
etapes suivantes : 

- -..transmettre au terminal ma£tre_ un premier 

-J?Qde.secret.. S M __et , au_. terminal., esclave _ un _ dexpcieme. . code 
secreL..S s .. en relation biunivoque avec le premier code 

- autoriser la reception des donnees et/ou 
services par le terminal esclave uniquement si le 
premier code secret S M est prealablement enregistre 
dans le terminal esclave, 

2. Proc£d6 selon la revendication 1 
caracterise en ce qu'il comporte les etapes suivantes : 

- definir un premier type de messages de 
gestion de titres d'accds (EMMm) pour transmettre le 
premier code secret S M au terminal maitre, et un 
deuxidme type de messages de gestion de titres d'acces 
(EMMs) pour transmettre le deuxidme code secret S s a 
chaque terminal esclave, 

- enregistrer le premier code secret S M dans 
le terminal maitre et le deuxidme code secret S s dans 
chaque terminal esclave et, 

a chaque utilisation d'un terminal esclave, 

- requerir l'enregistrement du premier code 
secret S M dans ledit terminal esclave si ce deuxidme 
code S s n'est pas en relation biunivoque avec le code 
secret S M enregistre dans le terminal esclave. 
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3. Procede selon la re vend i cat ion 1, 
caracterise en ce qu'il comporte en outre une etape 
consistant X..generex„L frequence variable un npuveau, 
code secret S M et un nouveau code S s en relation 
biunivoque avec le nouveau code S M . 

4. Procede selon la revendication 3 
caracterise en., ce _gu_'_il... compprte les etapes suivantes 

- definir un premier type de messages de 
gestion de titres d'accds (EMMm) pour transmettre le 
nouveau code secret S M au terminal maitre, et" un 
deuxidme type de messages de gestion de titres d'accds 
(EMMs) pour transmettre le nouveau code secret S s a 
chaque terminal esclave, 

- enregistrer ce nouveau code secret S M dans 
le terminal maitre et le nouveau code secret S s dans 
chaque terminal esclave et, 

a chaque- utilisation d'un terminal esclave, 

- si ce nouveau code secret S s n'est pas en 
relation biunivoque avec le code secret S M 
prealablement enregistre dans le terminal esclave, 

- requerir 1 ' enregistrement du nouveau code 
secret S M dans ledit terminal esclave. 

5. Procede selon I 7 une des revendications 1 
a 4, caracterisS en ce que chaque terminal comport e un 
processeur de s<§curit6 . 
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6, Brocade" selon la ge v cn di cafeiren S~r 

caracterise en ce que le processes da securite est une 
carte a puce associee au terminal . 

7. Precede selon la revendication 6, 
caracterise en ce que ladite carte a puce est appariee 
audit terminal. 



8. Systeme. de_ distribution de donnees et/ou 
services embrouilles & au moins un terminal maitre et a 
au moins un terminal esclave, munis chacun d'un 
processeur de securite, ledit systeme comportant : 

- un module central de gestion des abonnes 

(14) , 

- un generateur de messages de gestion de 
titres d'acciss (EMM) (16), 

- une plate-forme d' embrouillage (18), 
systeme caracterise en ce qu'il comporte en 

outre : 

- des moyens pour attribuer a chaque 
terminal maitre un premier code secret S„, et a chaque 
terminal esclave un deuxieme code secret S s en relation 
biunivoque avec le premier code secret S M , 

- des moyens de contr61e destines a 
autoriser la reception des donnees et/ou services par 
un terminal esclave uniquement si le premier code 
secret s H est prealablement memorise dans ledit 
terminal esclave. 
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9- Systeme selon la revendication 8 
caracteris£ qu'il comporte un seul terminal maitre et 
un seul terminal esclave. 



10. Systeme selcm la revendication 8 
caracterise en ce qu'il comporte une pluralite de 

t erminaux maitres , et une .„plxtraLi£j§ de. terminaux 

esclaves. 
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